セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA でのクライアントレス SSL VPN(WebVPN)の設定例

2008 年 8 月 26 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 6 月 17 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      手順
      設定
      クライアントレス SSL VPN(WebVPN)のマクロ置換
確認
トラブルシューティング
      トラブルシューティングの手順
      トラブルシューティングのコマンド
      問題:4 人以上の WEB VPN ユーザを PIX/ASA に接続できない
      問題:WEB VPN クライアントがブックマークを参照できずグレー表示される
      問題:WEBVPN を介した Citrix 接続
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

クライアントレス SSL VPN(WebVPN)を使用すると、限界はあるものの、任意の場所から企業ネットワークへの便利で安全なアクセスを実現できます。ユーザはブラウザを使用して、いつでも安全に社内のリソースにアクセスできます。このドキュメントでは、Cisco Adaptive Security Appliance(ASA)5500 シリーズで社内ネットワーク リソースへのクライアントレス SSL VPN アクセスを実現するための簡単な設定を紹介します。

SSL VPN テクノロジーの方式には、クライアントレス SSL VPN、シンクライアント SSL VPN(ポート フォワーディング)、および SSL VPN クライアント(SVC トンネル モード)の 3 つがあります。それぞれの方式にそれぞれの利点があり、リソースへのアクセス方法もそれぞれ異なります。

1. クライアントレス SSL VPN

リモート クライアント側で必要になるのは、企業 LAN 上にある http 対応または https 対応 Web サーバにアクセスするための SSL 対応 Web ブラウザだけです。このアクセス方法では、Common Internet File System(CIFS)による Windows ファイルの参照も可能です。http アクセスの例としては、Outlook Web Access(OWA)クライアントが挙げられます。

2. シンクライアント SSL VPN(ポート フォワーディング)

リモート クライアントにサイズの小さい Java ベースのアプレットをダウンロードすることで、静的ポート番号を使用する TCP アプリケーションの安全なアクセスを実現します。UDP はサポートされていません。このアクセス方法の例としては、POP3、SMTP、IMAP、SSH、および Telnet が挙げられます。ローカル マシン上のファイルに変更が加えられるため、ユーザにローカル管理者権限が必要になります。この SSL VPN 方式は、一部の FTP アプリケーションなど、動的ポート割り当てを使用するアプリケーションでは使用できません。

シンクライアント SSL VPN についての詳細は、『ASDM を使った ASA でのシンクライアント SSL VPN(WebVPN)の設定例』を参照してください。

3. SSL VPN クライアント(SVC トンネル モード)

SSL VPN クライアントがリモート ワークステーションにスモール クライアントをダウンロードすることで、社内ネットワーク上のリソースへの安全な完全アクセスを実現します。SVC はリモート ステーションにダウンロードしたままにしておくことも、安全なセッションの終了後に削除することも可能です。

クライアントレス SSL VPN は、Cisco VPN コンセントレータ 3000、および、バージョン 12.4(6)T 以降が稼働する特定の Cisco IOS(R) ルータで設定できます。クライアントレス SSL VPN アクセスは、Command Line Interface(CLI; コマンドライン インターフェイス)または Adaptive Security Device Manager(ASDM)を使用して Cisco ASA でも設定できます。ASDM を使う方が設定は簡単です。

クライアントレス SSL VPN と ASDM を同じ ASA インターフェイスで有効にしないでください。ポート番号に変更が加えられた場合は、同じインターフェイスでの、この 2 つのテクノロジーの共存が可能です。Inside インターフェイスでは ASDM を有効にし、Outside インターフェイスでは WebVPN を有効にすることを強く推奨します。

SSL VPN クライアントについての詳細は、『ASDM を使用した ASA での SSL VPN クライアント(SVC)の設定例』を参照してください。

クライアントレス SSL VPN では、企業 LAN 上の次のリソースに対するセキュアなアクセスが実現されます。

  • OWA/Exchange

  • 内部 Web サーバへの HTTP および HTTPS

  • Windows ファイルへのアクセスと参照

  • Citrix サーバ(Citrix シン クライアントを使用)

Cisco ASA はクライアント コンピュータのための安全なプロキシの役割を担い、事前に選択された企業 LAN 上のリソースにアクセスします。

このドキュメントでは、ASDM を使用して Cisco ASA でクライアントレス SSL VPN を使用できるようにするための簡単な設定を紹介します。SSL 対応 Web ブラウザさえあればクライアント側の設定は不要です。ほとんどの Web ブラウザには SSL/TLS セッションを起動する機能が備わっています。このドキュメントでは、Cisco ASA コマンドラインの出力例も紹介しています。

前提条件

要件

この設定を開始する前に、次の要件が満たされていることを確認してください。

  • クライアント - SSL 対応ブラウザ(Internet Explorer、Netscape、Mozilla など)

  • バージョン 7.1 以上がインストールされた ASA

  • クライアントから ASA へのパスで TCP ポート 443 番がブロックされていないこと

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ASA ソフトウェア バージョン 7.2(1)

  • Cisco ASDM 5.2(1)

    注:ASA を ASDM で設定できるようにする方法については、『ASDM 用の HTTPS アクセスの許可』を参照してください。

  • Cisco ASA 5510 シリーズ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

Web ブラウザで https://inside _IP Address と入力して、ASDM アプリケーションにアクセスします。ASDM がロードされたら、WebVPN の設定を開始します。

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

webvpnasa1-1.gif

手順

ASA で WebVPN を設定するには、次の 4 つの手順に従います。

  • ASA インターフェイスで WebVPN を有効にします。

  • WebVPN アクセス用のサーバまたは URL(またはその両方)のリストを作成します。

  • WebVPN ユーザ用のグループ ポリシーを作成します。

  • トンネル グループに新しいグループ ポリシーを適用します。

  1. ASDM で、Configuration > VPN > WebVPN > WebVPN Access の順に選択します。

    webvpnasa2-2.gif

    WebVPN ユーザを終端するインターフェイス > Enable > Apply の順に選択します。

    webvpnasa3-3.gif

  2. Servers and URLs > Add の順に選択します。

    webvpnasa4-4.gif

    WebVPN からアクセス可能なサーバのリストの名前を入力します。Add ボタンをクリックします。Add Server or URL ダイアログボックスが表示されます。各サーバの名前を入力します。これはクライアントで表示される名前です。サーバごとに URL ドロップダウン メニューを選択して、適切なプロトコルを選択します。Add Server or URL ダイアログボックスでリストにサーバを追加し、OK をクリックします。

    webvpnasa5-5.gif

    Apply > Save の順に選択します。

  3. ASDM の左側のメニューで General を展開します。Group Policy > Add の順に選択します。

    webvpnasa6-6.gif

    • Add Internal Group Policy を選択します。Tunneling Protocols: Inherit チェックボックスをオフにします。WebVPN チェックボックスをオンにします。

    webvpnasa7-7.gif

    • WebVPN タブを選択します。Inherit チェックボックスをオフにします。リストから機能を選択します。OK > Apply の順にクリックします。

    webvpnasa11-11.gif

  4. 左側の列から Tunnel Group を選択します。Edit ボタンをクリックします。

    webvpnasa8-8.gif

    Group Policy ドロップダウン メニューをクリックします。手順 3 で作成したポリシーを選択します。

    webvpnasa12-12.gif

    グループ ポリシーとトンネル グループを新しく作成していない場合のデフォルトは GroupPolicy 1DefaultWEBVPNGroup になる点に注意してください。WebVPN タブをクリックします。

    webvpnasa13-13.gif

    NetBIOS Servers を選択します。Add ボタンをクリックします。WINS/NBNS サーバの IP アドレスを入力します。OK > OK の順にクリックします。指示に従って Apply > Save > Yes の順に選択して、設定を書き込みます。

    webvpnasa14-14.gif

設定

この設定は、WebVPN を有効にするために ASDM で加えた変更を反映します。

Ciscoasa

ciscoasa#show running-config 
 Building configuration...
 
ASA Version 7.2(1) 
hostname ciscoasa
domain-name cisco.com
enable password 9jNfZuG3TC5tCVH0 encrypted
names
dns-guard
interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 172.22.1.160 255.255.255.0 
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.2.2.1 255.255.255.0 
interface Ethernet0/2
 nameif DMZ1
 security-level 50
 no ip address
interface Management0/0
 description For Mgt only
 shutdown
 nameif Mgt
 security-level 0
 ip address 10.10.10.1 255.255.255.0 
 management-only
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name cisco.com
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu DMZ1 1500
mtu Mgt 1500
icmp permit any outside
asdm image disk0:/asdm521.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.2.2.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
!

!--- グループ ポリシーの設定
!

group-policy GroupPolicy1 internal
group-policy GroupPolicy1 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec webvpn
 webvpn
  functions url-entry file-access file-entry file-browsing mapi port-forward filter 
   http-proxy auto-download citrix
username cisco password 53QNetqK.Kqqfshe encrypted
!

!--- ASDM の設定
!

http server enable
http 10.2.2.0 255.255.255.0 inside
!
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
!

!--- トンネル グループの設定
!

tunnel-group DefaultWEBVPNGroup general-attributes
 default-group-policy GroupPolicy1
tunnel-group DefaultWEBVPNGroup webvpn-attributes
 nbns-server 10.2.2.2 master timeout 2 retry 2
!
telnet timeout 5
ssh 172.22.1.0 255.255.255.0 outside
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
!

!--- WebVPN の設定
!

webvpn
 enable outside
 url-list ServerList "WSHAWLAP" cifs://10.2.2.2 1
 url-list ServerList "FOCUS_SRV_1" https://10.2.2.3 2
 url-list ServerList "FOCUS_SRV_2" http://10.2.2.4 3
!
prompt hostname context 
 !
 end

クライアントレス SSL VPN(WebVPN)のマクロ置換

クライアント SSL VPN のマクロ置換を使用すると、ユーザ ID やパスワードなどの入力パラメータを含む個人別のリソースにユーザがアクセスできるように設定できます。このようなリソースの例には、ブックマーク エントリ、URL リスト、ファイル共有などがあります。

注:セキュリティ上の理由から、パスワード置換はファイルアクセス URL(cifs://)に対しては無効にされています。

注:また、セキュリティ上の理由から、Web リンク(特に非 SSL インスタンス)に対してパスワード置換を導入する場合は注意してください。

次のマクロ置換がサポートされています。

  1. CSCO_WEBVPN_USERNAME:SSL VPN ユーザ ログイン ID

  2. CSCO_WEBVPN_PASSWORD:SSL VPN ユーザ ログイン パスワード

  3. CSCO_WEBVPN_INTERNAL_PASSWORD:SSL VPN ユーザ内部リソース パスワード

  4. CSCO_WEBVPN_CONNECTION_PROFILE:SSL VPN ユーザ ログイン グループ ドロップダウン、接続プロファイル内のグループ エイリアス

  5. CSCO_WEBVPN_MACRO1:RADIUS/LDAP ベンダー固有属性による設定

  6. CSCO_WEBVPN_MACRO2:RADIUS/LDAP ベンダー固有属性による設定

マクロ置換についての詳細は、『クライアントレス SSL VPN のマクロ置換』を参照してください。

確認

ここでは、設定が正常に動作していることを確認します。

これをテストするには、次のように入力して、Outside のクライアントから ASA デバイスへの接続を確立します。

https://ASA_outside_IP_Address

クライアントに Cisco WebVPN ページが表示されます。このページを使用すると企業 LAN へ安全にアクセスできます。新しく作成したグループ ポリシーでリストされているアクセスだけがクライアントに許可されます。

認証:この概念の検証のために簡単なログインとパスワードが ASA で用意されています。ドメインへのシングル サインオンおよびシームレス サインオンを WebVPN ユーザに提供する場合は、次の URL を参照してください。

ASA での ASDM を使用した WebVPN で NTLMv1 認証を用いたシングル サインオンの設定例

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を提供しています。

注:コピー処理が行われている間は、Copy File to Server コマンドを中断したり、別の画面に移動しないでください。操作を中断すると、不完全なファイルがサーバに保存される可能性があります。

注:ユーザは WEBVPN クライアントを使用して新しいファイルをアップロードまたはダウンロードすることはできますが、Copy File to Server コマンドを使用して WEB VPN 上で CIFS のファイルを上書きすることはできません。ユーザがサーバ上のファイルを置き換えようとすると、「Unable to add the file」というメッセージが表示されます。

トラブルシューティングの手順

設定をトラブルシューティングするには、次の手順を実行します。

  1. ASDM で Monitoring > Logging > Real-time Log Viewer > View の順に選択します。クライアントが ASA に接続したら、SSL および TLS セッションの確立と終了をリアルタイム ログで確認します。

    webvpnasa9-9.gif

  2. ASDM で Monitoring > VPN > VPN Statistics > Sessions の順に選択します。新しい WebVPN セッションを探します。WebVPN フィルタを選択して、Filter をクリックします。問題が発生する場合は、一時的に ASA デバイスをバイパスさせ、指定したネットワーク リソースにクライアントがアクセスできるかどうかを確認します。また、このドキュメントの設定手順を再確認してください。

    webvpnasa10-10.gif

トラブルシューティングのコマンド

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • show webvpn ?:WebVPN に関連するさまざまな show コマンドが用意されています。show コマンドの使用方法についての詳細は、Cisco セキュリティ アプライアンスの『コマンド リファレンス』セクションを参照してください。

  • debug webvpn ?debug コマンドの使用は ASA に悪影響を及ぼす場合があります。debug コマンドの使用方法についての詳細は、Cisco セキュリティ アプライアンスの『コマンド リファレンス』セクションを参照してください。

問題:4 人以上の WEB VPN ユーザを PIX/ASA に接続できない

問題:

WEB VPN クライアントが 3 人しか ASA/PIX に接続できず、4 人目のクライアントの接続に失敗します。

ソリューション:

ほとんどの場合、この問題はグループ ポリシー内の同時ログイン設定に関係しています。

次の例を参考にして、同時ログイン数を必要な値に設定してください。この例では、20 人に設定しようとしています。

ciscoasa(config)# group-policy Bryan attributes
ciscoasa(config-group-policy)# vpn-simultaneous-logins 20

問題:WEB VPN クライアントがブックマークを参照できずグレー表示される

問題:

ユーザがクライアントレス VPN にサインインできるようにブックマークが設定されているにもかかわらず、「Web Applications」の下のホーム画面でこれらのブックマークがグレー表示される場合、ユーザがそれらをクリックして特定の URL に移動できるように、これらの HTTP リンクを有効にするにはどうすればよいのですか。

ソリューション:

最初に、ASA が DNS を介して Web サイトを解決できていることを確認します。Web サイトの名前を使用して ping を発行してみてください。ASA が名前を解決できない場合、そのリンクはグレー表示されます。DNS サーバがネットワークの内部にある場合は、DNS ドメイン ルックアップ プライベート インターフェイスを設定します。

問題:WEBVPN を介した Citrix 接続

問題

WEBVPN を介した Citrix への接続で「the ica client received a corrupt ica file.」というエラー メッセージが表示されます。

ソリューション

WebVPN を介した Citrix への接続にセキュア ゲートウェイ モードを使用すると、ICA ファイルが破損する場合があります。ASA はこの動作モードと互換性がないので、ダイレクト モード(非セキュア モード)で新しい ICA ファイルを作成してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 70475